漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05986
漏洞标题:58同城简历库资源泄漏,绕过限制查任何人简历资料
相关厂商:58同城
漏洞作者: mibboy
提交时间:2012-04-12 19:03
修复时间:2012-04-13 18:03
公开时间:2012-04-13 18:03
漏洞类型:未授权访问/权限绕过
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-04-12: 细节已通知厂商并且等待厂商处理中
2012-04-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
对权限的控制和验证不足导致任意用户简历泄漏,可进行批量采集某行业人才信息。。。
详细说明:
58上的企业要看求职者简历有限制,好像现在免费能下载20条,但超了就要充钱才能看。。。此问题就是绕过这个限制。对权限的控制和验证不足导致任意用户简历泄漏,可进行批量采集某行业人才信息。对一些需要做生意的人这些资源非常不错。
漏洞证明:
随意找个简历http://jianli.58.com/showresumeinfo/?rid=58144049163777。
普通注册企业会员想要看联系方式需要充钱才行。。。。或者有下载限制。但是这个漏洞可以突破下载限制,甚至无需注册企业会员。
但这样http://jianli.58.com/outsendresume/?rid=58144049163777就能随意发送到指定邮箱
修复方案:
不解释,你懂的
版权声明:转载请注明来源 mibboy@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-04-13 18:03
厂商回复:
验证了下漏洞,不存在此漏洞,欢迎同学报告58的安全问题。也感谢大家的关注。
最新状态:
暂无